Андрей Юдников: "Когда мы говорим о постоянных клиентах, то получение согласия осуществляется при выдаче клиентской карты с подписанием заявления о присоединении к программе лояльности и согласии на обработку персональных данных"
Андрей Юдников,
генеральный директор Ivideon
© ComNews
22.07.2019

Заголовки, посвящённые ужесточению законов о персональных данных, мелькают регулярно. К примеру, в июне этого года в Государственную Думу был внесен законопроект, который усиливает ответственность за нарушение требований по хранению персональных данных российских пользователей на территории РФ. Всё это может настораживать компании, которые задумываются об установке систем распознавания лиц и других набирающих популярность оптимизационных решений по видеоаналитике. Какие законы контролируют работу компаний, использующих системы распознавания лиц? Что нужно знать бизнесу о регулировании и как получить эффективный инструмент, не нарушив действующее законодательство?

Как распознавание лиц регулируется в разных странах

Европейские законы. Главным общеевропейским законом, защищающим безопасность персональных данных, является GDPR, который вступил в силу в мае 2018 года. Он гласит, что фотографии человеческого лица считаются "биометрической информацией" и, как следствие, являются конфиденциальными данными.

По закону обработка таких данных (например, с целью опознания человека) запрещена без явного согласия их владельца. Но здесь существует ряд исключений: согласие получать необязательно, если данные нужны для оказания медицинских услуг или обеспечения национальной безопасности. Страны-участники Евросоюза также имеют право вносить свои поправки к GDPR. В Голландии в список исключений также попал кейс со сбором биометрических данных для поддержания корпоративной безопасности — например, для установления личности на КПП. Главным общеевропейским законом, защищающим безопасность персональных данных, является GDPR, который вступил в силу в мае 2018 года. Он гласит, что фотографии человеческого лица считаются "биометрической информацией" и, как следствие, являются конфиденциальными данными.

В будущем на территории Евросоюза планируют ввести биометрические документы единого стандарта. Идея состоит в том, чтобы упростить идентификацию граждан на территории стран ЕС. Ожидается, что новая база данных паспортов будет включать в себя информацию о 350 млн человек — она станет одной из крупнейших в своём роде. Однако некоторые эксперты считают, что её создание идёт вразрез с принципами безопасности, описанными в GDPR, — возникает риск масштабных утечек персональных данных.

Акты США. В Америке пока не существует федерального закона, который бы регулировал процессы обработки персональных биометрических данных граждан. Но работу в этом направлении ведут правительственные организации. Например, Федеральная торговая комиссия (FTC) выпустила список рекомендаций по защите данных пользователей для компаний, работающих с технологиями распознавания лиц. Этот документ не имеет какой-либо юридической силы и просто описывает набор практик по сбору и удалению биометрической информации о клиентах. Кроме того, в апреле 2019 года в Сенат США был внесён проект закона под названием "Акт о приватности при коммерческом распознавании лиц, 2019" (Commercial Facial Recognition Privacy Act of 2019), запрещающий коммерческому сектору собирать и передавать куда-либо идентификационные данные без разрешения. Согласно законопроекту, компании обязаны будут уведомлять клиентов об использовании распознавания лиц.

Отдельные штаты все же закрепили правила обработки биометрических данных на законодательном уровне. В штате Иллинойс сбор информации о человеческих лицах регулируется принятым в 2008 году законом BIPA (Biometric Information Privacy Act). Во многих смыслах он оказывается гораздо строже европейского GDPR, в частности, компании, собирающие и использующие биометрические данные, должны проинформировать об этом граждан, а также объяснить, зачем это делается, в письменной форме.

В законе под определение "биометрического идентификатора" попадают отпечатки пальцев, сетчатка глаза, спектрограмма голоса и так называемая лицевая геометрия (face geometry), модель, описывающая характеристики лица. Правда, фотографии человека под определение биометрического идентификатора не попадают (десятый раздел документа).

Похожий закон существует в Калифорнии — он называется CCPA (California Consumer Privacy Act) и был принят в прошлом году. Что интересно, в этом случае фотография лица человека считается биометрическими данными.

Эксперты отмечают, что разногласия в трактовках создают "серую зону" и препятствует популяризации технологии распознавания лиц. По этой причине в США уже ведется работа над созданием федерального закона, который приведет все к общему знаменателю. В частности, два месяца назад гавайский сенатор предложил новый законопроект под названием Commercial Face Recognition Privacy Act. Его задача — выработать единые правила для бизнеса по работе с биометрическими данными пользователей. Слушания по законопроекту пока не начались, однако его уже поддержали несколько IT-компаний, например Microsoft.

Распознавание лиц в России. В нашей стране вопросы видеонаблюдения затрагиваются вч. 1 ст. 152.2 Гражданского кодекса РФ. В соответствии с ГК, согласие на получение и использование изображения гражданина не требуется, если наблюдение ведётся в государственных или общественных интересах, в общедоступных местах и на публичных мероприятиях.

Еще один закон, регулирующий работу с фото- и видеозаписью, — закон 152-ФЗ "О персональных данных". По умолчанию видеозапись не является носителем персональных биометрических данных, так как не представляет собой средство однозначной идентификации субъекта. Ограничений на хранение и обработку таких записей нет. Однако если использовать систему распознавания лиц, которая присваивает людям на видео идентификаторы, тогда 152-ФЗ вступает в силу.

Обладателю такой системы необходимо получать лицензию на обработку персональных данных и выполнять требования к ИТ-инфраструктуре, используемой для хранения таких данных (также придется получить согласие субъектов на сбор обработку ПД — в письменной форме).

Чтобы понять, нужно ли вам выполнять требования 152-ФЗ, важно определить цель использования системы распознавания лиц. Если система просто считает улыбки или количество посещений, например, женщинами от 20 до 30 лет, то никакого согласия физического лица на сбор и обработку ПД не требуется. Если же вы храните в системе изображение Ивана Ивановича Иванова, и указываете в базе, что это изображение именно Ивана Ивановича Иванова, то без его письменного согласия уже не обойтись.

Когда мы говорим о постоянных клиентах, то получение согласия осуществляется при выдаче клиентской карты с подписанием заявления о присоединении к программе лояльности и согласии на обработку персональных данных. Для работников соблюдается тот же принцип, согласие оформляется при приеме на работу или при внедрении системы.

Чек-лист по установке системы распознавания лиц для бизнеса

Ivideon недаром так часто рассказывает о нюансах распознавания лиц: мы предоставляем бизнесу собственное решение для предотвращения краж, учёта рабочего времени, запуска продвинутых программ лояльности. Если у вас в компании используется видеонаблюдение с системой распознавания лиц, проверьте, соответствует ваш подход к организации наблюдения требованиям законодательства:

- Собирайте согласие на обработку персональных данных, где это возможно: для постоянных покупателей пропишите такой пункт в программе лояльности или оферте, для сотрудников — в документах при приеме на работу.

- Уведомляйте посетителей и сотрудников о том, что на территории ведется видеонаблюдение. Для этого достаточно повесить табличку "Ведется видеонаблюдение" на видном месте.

- Составьте внутренний регламент по режиму доступа к системам видеонаблюдения и архивам. Доступ к ним должны иметь только специально уполномоченные лица. При этом обращаться им можно лишь к тем данным, которые необходимы для выполнения конкретных должностных обязанностей.

- Если вы используете в работе облачный архив, убедитесь, что ваш провайдер хранит биометрические данные на территории России и не передает их третьим лицам. Например, Ivideon хранит данные клиентов в 15 дата-центрах уровня надёжности Tier lll по всему миру, в том числе и в России. Инфраструктура, которую мы используем, позволяет нашим клиентам соответствовать требованиям 152-ФЗ и работать с системами распознавания лиц, не нарушая закон.